fa
Feedback
Cyber Youth Cambodia (Channel)

Cyber Youth Cambodia (Channel)

رفتن به کانال در Telegram

Cyber Youth Cambodia is a platform to promote Digital Knowledge and Cybersecurity among the Youth in Cambodia. We need to build more digital and cybersecurity talents to develop and defense the digital infrastructure in Cambodia! January 2020

نمایش بیشتر
1 566
مشترکین
-124 ساعت
-27 روز
+230 روز

در حال بارگیری داده...

ابر برچسب‌ها
هیچ داده‌ای
مشکلی وجود دارد؟ لطفاً صفحه را تازه کنید یا با مدیر پشتیبانی ما تماس بگیرید.
اشارات ورودی و خروجی
---
---
---
---
---
---
جذب مشترکین
ژوئیه '26
ژوئیه '26
+1
در 0 کانال‌ها
ژوئن '26
+9
در 0 کانال‌ها
Get PRO
مه '26
+9
در 0 کانال‌ها
Get PRO
آوریل '26
+8
در 0 کانال‌ها
Get PRO
مارس '26
+6
در 0 کانال‌ها
Get PRO
فوریه '26
+9
در 0 کانال‌ها
Get PRO
ژانویه '26
+29
در 1 کانال‌ها
Get PRO
دسامبر '25
+12
در 0 کانال‌ها
Get PRO
نوامبر '25
+12
در 0 کانال‌ها
Get PRO
اکتبر '25
+7
در 0 کانال‌ها
Get PRO
سپتامبر '25
+5
در 0 کانال‌ها
Get PRO
اوت '25
+25
در 0 کانال‌ها
Get PRO
ژوئیه '25
+28
در 0 کانال‌ها
Get PRO
ژوئن '25
+3
در 0 کانال‌ها
Get PRO
مه '25
+5
در 0 کانال‌ها
Get PRO
آوریل '25
+7
در 0 کانال‌ها
Get PRO
مارس '25
+3
در 0 کانال‌ها
Get PRO
فوریه '25
+6
در 0 کانال‌ها
Get PRO
ژانویه '25
+5
در 0 کانال‌ها
Get PRO
دسامبر '24
+8
در 0 کانال‌ها
Get PRO
نوامبر '24
+19
در 0 کانال‌ها
Get PRO
اکتبر '24
+24
در 0 کانال‌ها
Get PRO
سپتامبر '24
+35
در 0 کانال‌ها
Get PRO
اوت '24
+29
در 1 کانال‌ها
Get PRO
ژوئیه '24
+10
در 0 کانال‌ها
Get PRO
ژوئن '24
+19
در 0 کانال‌ها
Get PRO
مه '24
+18
در 0 کانال‌ها
Get PRO
آوریل '24
+15
در 0 کانال‌ها
Get PRO
مارس '24
+9
در 0 کانال‌ها
Get PRO
فوریه '24
+27
در 0 کانال‌ها
Get PRO
ژانویه '24
+38
در 0 کانال‌ها
Get PRO
دسامبر '23
+42
در 0 کانال‌ها
Get PRO
نوامبر '23
+7
در 0 کانال‌ها
Get PRO
اکتبر '23
+11
در 0 کانال‌ها
Get PRO
سپتامبر '23
+4
در 0 کانال‌ها
Get PRO
اوت '23
+6
در 0 کانال‌ها
Get PRO
ژوئیه '23
+7
در 0 کانال‌ها
Get PRO
ژوئن '23
+9
در 0 کانال‌ها
Get PRO
مه '23
+9
در 0 کانال‌ها
Get PRO
آوریل '23
+6
در 0 کانال‌ها
Get PRO
مارس '23
+10
در 0 کانال‌ها
Get PRO
فوریه '23
+10
در 0 کانال‌ها
Get PRO
ژانویه '23
+12
در 0 کانال‌ها
Get PRO
دسامبر '22
+6
در 0 کانال‌ها
Get PRO
نوامبر '22
+7
در 0 کانال‌ها
Get PRO
اکتبر '22
+12
در 0 کانال‌ها
Get PRO
سپتامبر '22
+19
در 0 کانال‌ها
Get PRO
اوت '22
+31
در 0 کانال‌ها
Get PRO
ژوئیه '22
+33
در 0 کانال‌ها
Get PRO
ژوئن '22
+42
در 0 کانال‌ها
Get PRO
مه '22
+33
در 0 کانال‌ها
Get PRO
آوریل '22
+16
در 0 کانال‌ها
Get PRO
مارس '22
+16
در 0 کانال‌ها
Get PRO
فوریه '22
+16
در 0 کانال‌ها
Get PRO
ژانویه '22
+7
در 0 کانال‌ها
Get PRO
دسامبر '21
+20
در 0 کانال‌ها
Get PRO
نوامبر '21
+19
در 0 کانال‌ها
Get PRO
اکتبر '21
+16
در 0 کانال‌ها
Get PRO
سپتامبر '21
+30
در 0 کانال‌ها
Get PRO
اوت '21
+45
در 0 کانال‌ها
Get PRO
ژوئیه '21
+62
در 0 کانال‌ها
Get PRO
ژوئن '21
+158
در 0 کانال‌ها
Get PRO
مه '21
+32
در 0 کانال‌ها
Get PRO
آوریل '21
+90
در 0 کانال‌ها
Get PRO
مارس '21
+160
در 0 کانال‌ها
Get PRO
فوریه '21
+132
در 0 کانال‌ها
Get PRO
ژانویه '21
+123
در 0 کانال‌ها
Get PRO
دسامبر '20
+1 155
در 0 کانال‌ها
تاریخ
رشد مشترکین
اشارات
کانال‌ها
03 ژوئیه0
02 ژوئیه0
01 ژوئیه+1
پست‌های کانال
ការយល់ខុសដ៏ធំបំផុតមួយអំពី ISO 27001:2022 គឺការគិតថាគ្រាន់តែអនុវត្តវិធានការបច្ចេកទេសគឺគ្រប់គ្រាន់ហើយ តាមពិតទៅ អ្វីដែលសវនករស្វែ
ការយល់ខុសដ៏ធំបំផុតមួយអំពី ISO 27001:2022 គឺការគិតថាគ្រាន់តែអនុវត្តវិធានការបច្ចេកទេសគឺគ្រប់គ្រាន់ហើយ តាមពិតទៅ អ្វីដែលសវនករស្វែងរក និងមានសារៈសំខាន់ដូចគ្នានោះគឺ៖ ភស្តុតាង (Evidence) ប្រសិនបើដំណើរការមួយមិនត្រូវបានចងក្រងជាឯកសារ មិនត្រូវបានថែទាំ និងមិនត្រូវបានអនុវត្តតាមឱ្យបានជាប់លាប់នោះទេ វាពិតជាពិបាកក្នុងការបង្ហាញថាដំណើរការនោះមានពិតប្រាកដណាស់។ ហេតុដូច្នេះហើយ ទើបប្រព័ន្ធឯកសារគឺជាឆ្អឹងខ្នងនៃប្រព័ន្ធគ្រប់គ្រងសន្តិសុខព័ត៌មាន (ISMS) ដែលមានប្រសិទ្ធភាព។ ឯកសារសំខាន់ៗមួយចំនួនដែលគ្រប់ស្ថាប័នគួរតែរក្សាទុក រួមមាន៖ 📄 គោលនយោបាយសន្តិសុខព័ត៌មាន (Information Security Policy) ជាគ្រឹះដែលកំណត់ពីគោលបំណងសន្តិសុខ ការទទួលខុសត្រូវ និងការប្តេជ្ញាចិត្តរបស់ស្ថាប័ន។ 📊 វិធីសាស្ត្រវាយតម្លៃហានិភ័យ និងបញ្ជីហានិភ័យ (Risk Assessment Methodology & Risk Register) វិធីសាស្ត្រដែលមានរចនាសម្ព័ន្ធច្បាស់លាស់ក្នុងការកំណត់ វាយតម្លៃ និងចាត់វិធានការលើហានិភ័យសន្តិសុខព័ត៌មាន។ 📋 សេចក្តីថ្លែងការណ៍ស្តីពីការអនុវត្ត (Statement of Applicability - SoA) ជាឯកសារដ៏សំខាន់បំផុតមួយក្នុងអំឡុងពេលធ្វើសវនកម្ម ISO 27001 ដែលពន្យល់ពីវិធានការត្រួតពិនិត្យណាខ្លះដែលត្រូវបានអនុវត្ត និងហេតុអ្វី។ 🖥️ បញ្ជីសារពើភ័ណ្ឌទ្រព្យសកម្ម (Asset Inventory) អ្នកមិនអាចការពារប្រព័ន្ធ កម្មវិធី ឬទ្រព្យសកម្មព័ត៌មានដែលអ្នកមិនដឹងថាមាននោះឡើយ។ 🔐 គោលនយោបាយគ្រប់គ្រងការចូលប្រើប្រាស់ (Access Control Policies) ការកំណត់ឱ្យបានច្បាស់លាស់ថា តើនរណាអាចចូលប្រើប្រាស់អ្វីខ្លះ ស្ថិតនៅក្រោមលក្ខខណ្ឌណា និងរបៀបគ្រប់គ្រងសិទ្ធិអនុញ្ញាត។ 🚑 ផែនការឆ្លើយតបចំពោះឧប្បត្តិហេតុ (Incident Response Plans) នីតិវិធីដែលបានចងក្រងជាឯកសារជួយឱ្យក្រុមការងារសន្តិសុខអាចឆ្លើយតបបានយ៉ាងមានភាពស៊ីសង្វាក់គ្នា និងមានប្រសិទ្ធភាពនៅពេលមានឧប្បត្តិហេតុកើតឡើង។ 🔄 ការបន្តនិរន្តរភាពអាជីវកម្ម និងការស្តារឡើងវិញពីគ្រោះមហន្តរាយ (Business Continuity & Disaster Recovery) សន្តិសុខសាយប័រមិនមែនត្រឹមតែជាការការពារឧប្បត្តិហេតុប៉ុណ្ណោះទេ ប៉ុន្តែគឺអំពីការធានាថាអាជីវកម្មអាចស្តារឡើងវិញបាននៅពេលដែលវាសាយភាយកើតឡើង។ 🤝 ការគ្រប់គ្រងសន្តិសុខអ្នកផ្គត់ផ្គង់ (Supplier Security Management) ហានិភ័យពីភាគីទីបីនៅតែជាបញ្ហាប្រឈមដ៏ធំបំផុតមួយសម្រាប់ស្ថាប័នទំនើបៗ និងជាចំណុចផ្តោតសំខាន់ក្នុងអំឡុងពេលធ្វើសវនកម្ម។ 🛠️ ការគ្រប់គ្រងភាពងាយរងគ្រោះ និងការអាប់ដេតបំណះសន្តិសុខ (Vulnerability & Patch Management) ការបង្ហាញពីដំណើរការដែលអាចធ្វើឡើងវិញបានក្នុងការស្វែងរក កំណត់អាទិភាព និងដោះស្រាយចំណុចខ្សោយផ្នែកសន្តិសុខ។ 📈 នីតិវិធីកត់ត្រាប្រវត្តិកិច្ចការ និងការត្រួតពិនិត្យ (Logging & Monitoring Procedures) ការត្រួតពិនិត្យប្រកបដោយប្រសិទ្ធភាពជួយផ្តល់នូវភាពមើលឃើញ គណនេយ្យភាព និងភស្តុតាងដ៏មានតម្លៃក្នុងអំឡុងពេលស៊ើបអង្កេត និងការវាយតម្លៃការអនុលោមភាព។ 💡 អ្វីដែលអ្នកគួរចងចាំ! ISO 27001 មិនគួរត្រូវបានចាត់ទុកថាជាគ្រាន់តែជាគម្រោងដើម្បីទទួលបានវិញ្ញាបនបត្រនោះឡើយ។ វាគឺជាក្របខ័ណ្ឌអភិបាលកិច្ចដែលត្រូវបានបង្កើតឡើងដើម្បីកសាងការអនុវត្តសន្តិសុខដែលអាចធ្វើឡើងវិញបាន អាចវាស់វែងបាន និងមាននិរន្តរភាព។ គោលនយោបាយតែមួយមុខ មិនអាចជួយលើកកម្ពស់សន្តិសុខបានទេ។ នីតិវិធីតែមួយមុខ មិនអាចជួយលើកកម្ពស់សន្តិសុខបានទេ។ គំរូឯកសារ (Templates) តែមួយមុខ ក៏មិនអាចជួយលើកកម្ពស់សន្តិសុខបានដែរ។ *** មានតែមនុស្សដែលអនុវត្តតាមដំណើរការដែលបានកំណត់យ៉ាងច្បាស់លាស់ឱ្យបានជាប់លាប់ប៉ុណ្ណោះ ទើបអាចធ្វើទៅបាន។ @OUPNarith

2
2026 Data Breach Investigations Report Verizon @OUPNarith
164
3
13 YouTube Channels That Can Teach You More Than College @OUPNarith
13 YouTube Channels That Can Teach You More Than College @OUPNarith
176
4
សិស្សអាយុ ១៦ ឆ្នាំម្នាក់ នៅក្នុងខេត្តង៉ែអាន (Nghệ An) ភាគកណ្តាលនៃប្រទេសវៀតណាម ត្រូវបានចោទប្រកាន់ពីបទលួចចូល (Hack) ប្រព័ន្ធព័ត
សិស្សអាយុ ១៦ ឆ្នាំម្នាក់ នៅក្នុងខេត្តង៉ែអាន (Nghệ An) ភាគកណ្តាលនៃប្រទេសវៀតណាម ត្រូវបានចោទប្រកាន់ពីបទលួចចូល (Hack) ប្រព័ន្ធព័ត៌មានចាក់វ៉ាក់សាំងជាតិរបស់ប្រទេសវៀតណាម និងបានលក់ទិន្នន័យផ្ទាល់ខ្លួនប្រហែល ២០ លានកំណត់ត្រា ដោយរកចំណូលបានច្រើនជាង ១០០ លានដុង (VNĐ) ពីការលក់ព័ត៌មានរបស់ប្រជាពលរដ្ឋដោយខុសច្បាប់នេះ។ @OUPNarith
166
5
តើការតំឡើង Apps នៅលើឡាន EV ថ្មីៗគឺជាហានិភ័យ ឬជាការធ្វើឲ្យកាន់តែទំនើប និងងាយស្រួលដល់អ្នកបើកបរ និងរួមអ្នកដំណើរជាមួយ? សូមស្តាប់ល
តើការតំឡើង Apps នៅលើឡាន EV ថ្មីៗគឺជាហានិភ័យ ឬជាការធ្វើឲ្យកាន់តែទំនើប និងងាយស្រួលដល់អ្នកបើកបរ និងរួមអ្នកដំណើរជាមួយ? សូមស្តាប់លោក ជី សុផាត បកស្រាយ! ប្រភពៈ https://youtu.be/3hfCK_cZIzc?si=ciqmWP0mSZUar_gD @OUPNarith
151
6
🚨 ក្រុម Hacker ប្រើប្រាស់ AI Bot របស់ Meta ដើម្បីកំណត់លេខសម្ងាត់ឡើងវិញ និងលួចគណនី Instagram កំហុសបច្ចេកទេសដ៏ធ្ងន់ធ្ងរមួយនៅក្
🚨 ក្រុម Hacker ប្រើប្រាស់ AI Bot របស់ Meta ដើម្បីកំណត់លេខសម្ងាត់ឡើងវិញ និងលួចគណនី Instagram កំហុសបច្ចេកទេសដ៏ធ្ងន់ធ្ងរមួយនៅក្នុងប្រព័ន្ធ AI Chatbot សម្រាប់ជំនួយការ (Support Chatbot) របស់ Instagram បានអនុញ្ញាតឱ្យក្រុម Hacker អាចឆ្លងកាត់ប្រព័ន្ធផ្ទៀងផ្ទាត់ពីរជំហាន (Two-Factor Authentication) បានយ៉ាងងាយស្រួល។ ពួកគេមិនបានប្រើវិធីសាស្ត្រវាយប្រហារដើម្បីបំបែកកូដនោះទេ ប៉ុន្តែពួកគេគ្រាន់តែស្នើសុំឱ្យ Chatbot ប្រគល់សិទ្ធិចូលប្រើប្រាស់គណនីឱ្យតែម្ដង។ ការវាយប្រហារនេះមិនតម្រូវឱ្យមានកម្មវិធីមេរោគ (Malware) មិនចាំបាច់ប្រើតំណភ្ជាប់ Phishing និងមិនទាមទារឱ្យមានការចូលទៅក្នុងអ៊ីមែលរបស់ជនរងគ្រោះឡើយ។ ដំបូង ក្រុម Hacker បានកំណត់គោលដៅទៅលើគណនីដែលមានតម្លៃខ្ពស់ ជាពិសេសគណនីដែលមានឈ្មោះហៅក្រៅខ្លីៗ (Short-handle/OG usernames) ដែលមានតម្លៃរាប់ពាន់ដុល្លារនៅលើទីផ្សារងងឹត។ បន្ទាប់មក ពួកគេប្រើប្រាស់ VPN ឬសេវាកម្ម Residential Proxy ដែលមានទីតាំងភូមិសាស្ត្រស្ថិតនៅក្នុងតំបន់តែមួយជាមួយម្ចាស់គណនី ដើម្បីចៀសវាងការចាប់បានពីប្រព័ន្ធត្រួតពិនិត្យការក្លែងបន្លំដោយស្វ័យប្រវត្តិរបស់ Instagram។ @OUPNarith
202
7
📢 Applications are now open — our first cohort starting soon. I am launching the first cohort of the Applied AI Engineer Thr
📢 Applications are now open — our first cohort starting soon. I am launching the first cohort of the Applied AI Engineer Three-Month Mastery program, led by me myself. This is a structured, hands-on program designed to take you from AI foundations to production deployment in 90 days: → Month 1: Python for AI, data handling, classical ML & deep learning fundamentals → Month 2: Modern AI stack — Prompt Engineering, RAG, AI Agents & evaluation → Month 3: Production systems with FastAPI, Docker, LLMOps & a capstone project Graduates leave with 4 tangible portfolio pieces ready to show employers. Cohorts are intentionally small (5–10 students) to ensure personalized instruction and strong accountability. If you're serious about building a career in AI engineering or AI research opportunities, I'd love to welcome you in the first cohort. Reach out to me for consultation : rinabuoy@gmail.com #AppliedAI #AIEngineering #CareerDevelopment #MachineLearning #TechEducation @OUPNarith
167
8
ការស្រាវជ្រាវថ្មីបានបង្ហាញថា ប្រវត្តិសារជជែករបស់ WhatsApp អាចនឹងត្រូវបានរក្សាទុកដោយមិនមានការអុីនគ្រីប (Unencrypted) នៅលើទាំងឧ
ការស្រាវជ្រាវថ្មីបានបង្ហាញថា ប្រវត្តិសារជជែករបស់ WhatsApp អាចនឹងត្រូវបានរក្សាទុកដោយមិនមានការអុីនគ្រីប (Unencrypted) នៅលើទាំងឧបករណ៍ macOS និង iOS ដែលនេះបានបង្កជាក្តីបារម្ភសារជាថ្មីអំពីការការពារទិន្នន័យនៅលើឧបករណ៍ និងការចូលប្រើប្រាស់ទិន្នន័យឆ្លងកម្មវិធី (Cross-application access) នៅក្នុងប្រព័ន្ធអេកូឡូស៊ីរបស់ Apple។ ទោះបីជា WhatsApp ប្រើប្រាស់ការអុីនគ្រីបពីចុងម្ខាងទៅចុងម្ខាង (E2EE) ដ៏រឹងមាំ ដើម្បីធានាសុវត្ថិភាពសារនៅពេលកំពុងបញ្ជូនក៏ដោយ ប៉ុន្តែការការពារនេះមិនគ្របដណ្តប់ទៅលើរបៀបដែលទិន្នន័យត្រូវបានរក្សាទុកនៅលើឧបករណ៍នោះទេ បន្ទាប់ពីអ្នកប្រើប្រាស់បានបើកចូលមើលវា។ បញ្ហានេះប៉ះពាល់ដល់ទាំងឧបករណ៍ iOS និងប្រព័ន្ធ macOS ដែលកំពុងដំណើរការកម្មវិធី WhatsApp ជាពិសេសនៅពេលដែលមានការប្រើប្រាស់កន្លែងផ្ទុកទិន្នន័យកម្មវិធីរួមគ្នា (Shared app containers)។ នៅលើប្រព័ន្ធ macOS ដែលការចូលប្រើប្រាស់ប្រព័ន្ធឯកសារមានភាពបត់បែនជាងមុន ហានិភ័យនេះអាចនឹងកាន់តែខ្ពស់ ប្រសិនបើប្រព័ន្ធត្រួតពិនិត្យសុវត្ថិភាពឧបករណ៍ (Endpoint security controls) មានភាពខ្សោយ។ @OUPNarith
179
9
អត្ថបទទី6 — អ្នកវាយប្រហារបានធ្វើកិច្ចការរបស់គេ។ ចុះអ្នកវិញ? "ហេគឃ័រ (Hackers) មិនទាយនោះទេ។ ពួកគេស្រាវជ្រាវ ហើយពួកគេដឹងពីប្រព័
អត្ថបទទី6 — អ្នកវាយប្រហារបានធ្វើកិច្ចការរបស់គេ។ ចុះអ្នកវិញ? "ហេគឃ័រ (Hackers) មិនទាយនោះទេ។ ពួកគេស្រាវជ្រាវ ហើយពួកគេដឹងពីប្រព័ន្ធរបស់អ្នកច្រើនជាងអ្វីដែលអ្នកបានគិតទៅទៀត។" ១. បរិបទទូទៅ មុនពេលឧក្រិដ្ឋជនសាយប័រចាប់ផ្តើមការវាយប្រហារពួកគេចំណាយពេលយ៉ាងច្រើនក្នុងការធ្វើការស៊ើបការណ៍ (reconnaissance) — ប្រមូលព័ត៌មានអំពីគោលដៅ។ ពួកគេប្រើប្រាស់ឧបករណ៍ដែលមានជាសាធារណៈដើម្បីស្វែងរកប្រព័ន្ធរបស់អ្នកដែលភ្ជាប់ទៅកាន់អុីនធឺណិត។ ពួកគេស្វែងរកកំណែកម្មវិធី (software versions) ចាស់ៗ។ ពួកគេពិនិត្យមើល ថាតើគេហទំព័ររបស់អ្នកបានបង្ហាញព័ត៌មានអំពីឧបករណ៍ដែលអ្នកប្រើប្រាស់ដែរឬទេ។ ពួកគេស្វែងរកនៅលើ LinkedIn ដើម្បីយល់ពីរចនាសម្ព័ន្ធស្ថាប័នរបស់អ្នក និងកំណត់ថាតើនរណាខ្លះជាក្រុមព័ត៌មានវិទ្យា។ ពួកគេថែមទាំងអាចទូរស័ព្ទទៅកាន់ផ្នែកជំនួយ (helpdesk) របស់អ្នក ដោយក្លែងបន្លំជាបុគ្គលិកដើម្បីប្រមូលព័ត៌មានសម្រាប់ការចូលប្រើប្រាស់។ នៅពេលដែលពួកគេចាប់ផ្តើមធ្វើសកម្មភាព ពួកគេដឹងច្បាស់ថាទ្វារមួយណាដែលខ្សោយជាងគេ។ ហើយក្នុងករណីភាគច្រើន ទ្វារនោះគឺជាទ្វារដែលស្ថាប័នរបស់អ្នកបានភ្លេច — ប្រព័ន្ធដែលមិនបានធ្វើបច្ចុប្បន្នភាព (unpatched system) ទំព័រចូលប្រើ (login page) ដែលគេអាចមើលឃើញ គណនីក្លោដ (cloud account) ដែលរៀបចំខុស ឬឧបករណ៍ដែលដំណើរការកម្មវិធីហួសសម័យ។ ជាមធ្យមអ្នកវាយប្រហារចំណាយពេលពី 3 ទៅ 6 សប្តាហ៍ដើម្បីសិក្សាពីគោលដៅ មុនពេលចាប់ផ្តើមការវាយប្រហារ។ ស្ថាប័នដែលពួកគេវាយប្រហារ ច្រើនតែមិនចំណាយពេលសោះក្នុងការសិក្សាពីខ្លួនឯង តាមទស្សនៈរបស់អ្នកវាយប្រហារ។ ២. ហេតុអ្វីបានជារឿងនេះមានសារៈសំខាន់ចំពោះស្ថាប័នរបស់អ្នក ភាពមិនស៊ីគ្នានេះគឺច្បាស់ណាស់៖ អ្នកវាយប្រហារវិនិយោគពេលវេលាសិក្សាពីចំណុចខ្សោយរបស់អ្នក ខណៈពេលដែលស្ថាប័នភាគច្រើនវិនិយោគពេលវេលាតិចតួចបំផុតក្នុងការយល់ដឹងពីអ្វីដែលពួកគេបានបង្ហាញទៅកាន់ពិភពខាងក្រៅ។ ការគ្រប់គ្រងទ្រព្យសកម្ម គឺជួយបិទចន្លោះប្រហោងនេះ។ នៅពេលដែលអ្នកដឹងច្បាស់ថាអ្នកមានអ្វីខ្លះ អ្វីដែលត្រូវបានលាតត្រដាង និងអ្វីដែលហួសសម័យ អ្នកអាចស្វែងរក និងជួសជុលទ្វារដែលខ្សោយទាំងនោះ មុនពេលអ្នកវាយប្រហាររកវាឃើញសម្រាប់អ្នក។ ៣. ការណែនាំ និងជំហានសម្រាប់ការអនុវត្ត ជំហានទី 1 — ស្វែងរកស្ថាប័នរបស់អ្នកនៅលើ Google ចាប់ផ្តើមជាមួយនឹងទម្រង់ដ៏សាមញ្ញបំផុតនៃការស៊ើបការណ៍ខ្លួនឯង។ ស្វែងរកឈ្មោះក្រុមហ៊ុនរបស់អ្នក ដូមេន (domain) របស់អ្នក និងឈ្មោះថ្នាក់ដឹកនាំសំខាន់ៗនៅលើអុីនធឺណិត។ តើមានព័ត៌មានអ្វីខ្លះដែលត្រូវបានបង្ហាញជាសាធារណៈ? តើមានវេទិកាបច្ចេកវិទ្យាអ្វីខ្លះដែលត្រូវបានលើកឡើងនៅលើគេហទំព័ររបស់អ្នក? តើស្ថាប័នរបស់អ្នកបានលាតត្រដាងអ្វីខ្លះដោយមិនដឹងខ្លួន? ជំហានទី 2 — ស្នើសុំការវាយតម្លៃចំណុចខ្សោយពីខាងក្រៅ ស្នើសុំឱ្យអ្នកជំនាញសន្តិសុខសាយប័រធ្វើការវាយតម្លៃផ្នែកខាងក្រៅជាមូលដ្ឋាន — សម្លឹងមើលស្ថាប័នរបស់អ្នកពីខាងក្រៅ ដូចទៅនឹងរបៀបដែលអ្នកវាយប្រហារធ្វើដែរ។ នេះមិនចាំបាច់ជាការធ្វើតេស្តជ្រៀតចូលពេញលេញ (full penetration test) នោះទេ ត្រឹមតែការស្កេនជាមូលដ្ឋានលើទ្រព្យសកម្មដែលភ្ជាប់ទៅអ៊ីនធឺណិតរបស់អ្នក នឹងបង្ហាញពីរបកគំហើញដ៏សំខាន់ជាច្រើន។ ជំហានទី 3 — ពិនិត្យមើលអ្វីដែលការប្រកាសជ្រើសរើសបុគ្គលិករបស់អ្នកបានលាតត្រដាង គួរឱ្យភ្ញាក់ផ្អើល ការប្រកាសការងារគឺជាឃ្លាំងមាសសម្រាប់អ្នកវាយប្រហារ។ ការប្រកាសដែលនិយាយថា "ត្រូវមានបទពិសោធន៍ជាមួយ SAP, Cisco ASA firewalls, និង AWS" ប្រាប់អ្នកវាយប្រហារយ៉ាងច្បាស់ពី បច្ចេកវិទ្យាដែលក្រុមហ៊ុនរបស់អ្នកកំពុងប្រើប្រាស់។ សូមពិនិត្យមើលការប្រកាសការងាររបស់អ្នកឡើងវិញដោយផ្តោតលើចំណុចនេះ។ ជំហានទី 4 — កំណត់អត្តសញ្ញាណទ្រព្យសកម្មដែលភ្ជាប់ទៅអ៊ីនធឺណិតរបស់អ្នក ធ្វើការជាមួយក្រុមព័ត៌មានវិទ្យារបស់អ្នក ដើម្បីរាយនាមរាល់សេវាកម្ម ប្រព័ន្ធឬច្រកចូល (portal) ដែលអាចចូលប្រើបានពីអុីនធឺណិត — គេហទំព័រ ម៉ាស៊ីនមេអុីមែល (email servers), ច្រកចូល VPN, ច្រកចូលសម្រាប់អតិថិជន (customer portals), និងឧបករណ៍ចូលប្រើប្រាស់ពីចម្ងាយ (remote access tools)។ ទាំងនេះគឺជាទ្រព្យសកម្មដែលងាយរងគ្រោះបំផុតរបស់អ្នក ហើយទាមទារការយកចិត្តទុកដាក់ជាអាទិភាព។ ៤. អនុសាសន៍សំខាន់សម្រាប់ថ្នាក់ដឹកនាំ ស្នើសុំការធ្វើ "ការវាយតម្លៃតាមទស្សនៈរបស់អ្នកវាយប្រហារ (Attacker's View Assessment)" ប្រចាំឆ្នាំពីក្រុមហ៊ុនសន្តិសុខសាយប័រដែលមានកេរ្តិ៍ឈ្មោះ។ ការវាយតម្លៃនេះសម្លឹងមើលស្ថាប័នរបស់អ្នកក្នុងទម្រង់ដែលអ្នកវាយប្រហារនឹងធ្វើ — កំណត់អត្តសញ្ញាណអ្វីដែលអាចមើលឃើញ អ្វីដែលខ្សោយ និងអ្វីដែលត្រូវបានលាតត្រដាង។ របកគំហើញទាំងនេះគួរតែត្រូវបានបង្ហាញជូនដល់ថ្នាក់គ្រប់គ្រង មិនមែនត្រឹមតែក្រុមព័ត៌មានវិទ្យាប៉ុណ្ណោះទេ ពីព្រោះការសម្រេចចិត្តជាច្រើនដែលត្រូវការដើម្បីជួសជុលចន្លោះប្រហោងទាំងនោះ គឺជាការសម្រេចចិត្តកម្រិតថ្នាក់គ្រប់គ្រង។ សំណួរសម្រាប់ពិភាក្សា៖ តើអ្នកធ្លាប់ប្រើ Google ដើម្បីស្វែងរកក្រុមហ៊ុនខ្លួនឯង ដើម្បីមើលថាមានព័ត៌មានអ្វីខ្លះដែលត្រូវបានបង្ហាញជាសាធារណៈដែរឬទេ? តើមានអ្វីដែលធ្វើឱ្យអ្នកភ្ញាក់ផ្អើល? @OUPNarith
131
10
តើវិធានការណាមួយដែលមានប្រសិទ្ធភាពបំផុតក្នុងការការពារទិន្នន័យរបស់អ្នក នៅពេលប្រើប្រាស់ WiFi សាធារណៈនៅហាងកាហ្វេ?
123
11
GitHub ត្រូវបានហេគ! @OUPNarith+2
GitHub ត្រូវបានហេគ! @OUPNarith
128
12
CISO មិនមែនជា "ទទួលខុសត្រូវផ្តាច់មុខលើគ្រប់កិច្ចការតាមសាយប័រ" ឬជាអ្នកដែលត្រូវគេទម្លាក់កំហុសលើដោយស្វ័យប្រវត្តិ បន្ទាប់ពីមានការ
CISO មិនមែនជា "ទទួលខុសត្រូវផ្តាច់មុខលើគ្រប់កិច្ចការតាមសាយប័រ" ឬជាអ្នកដែលត្រូវគេទម្លាក់កំហុសលើដោយស្វ័យប្រវត្តិ បន្ទាប់ពីមានការបែកធ្លាយទិន្នន័យ ឬការបរាជ័យក្នុងការធ្វើសវនកម្មនោះទេ។ ការងាររបស់ CISO គឺគ្រប់គ្រង កំណត់ស្តង់ដារ កំណត់អត្តសញ្ញាណហានិភ័យ ផ្ទៀងផ្ទាត់ការត្រួតពិនិត្យ និងរាយការណ៍ពីចន្លោះប្រហោង - មិនមែនជាអ្នកប្រតិបត្តិរាល់ការត្រួតពិនិត្យទាំងអស់នៅក្នុងស្ថាប័ននោះទេ។ តួនាទីរបស់ CISO (នាយកសន្តិសុខសាយប័រ) ត្រូវបានគេយល់ខុស។ គណនេយ្យភាពគួរតែស្ថិតនៅកន្លែងដែលការងារត្រូវធ្វើ៖ ១. ថ្នាក់ដឹកនាំអាជីវកម្ម ជាម្ចាស់លើហានិភ័យអាជីវកម្ម ២. ផ្នែកព័ត៌មានវិទ្យានិងវិស្វកម្ម ជាម្ចាស់លើការអនុវត្តប្រតិបត្តិការ ៣. ម្ចាស់ទ្រព្យសកម្ម ជាម្ចាស់លើភាពត្រឹមត្រូវនៃបញ្ជីសារពើភ័ណ្ឌឌីជីថល ៤. ផ្នែកសន្តិសុខ ជួយសម្រួល គ្រប់គ្រង ផ្ទៀងផ្ទាត់ និងរាយការណ៍បន្ត ប៉ុន្តែនៅក្នុងស្ថាប័នជាច្រើន CISO តែងតែត្រូវបានគេបន្ទោសចំពោះ៖ ១. បញ្ជីសារពើភ័ណ្ឌទ្រព្យសកម្មឌីជីថលមិនពេញលេញ ដែលគ្រប់គ្រងដោយផ្នែកប្រតិបត្តិការ IT និងផ្នែកពាក់ព័ន្ធ ២. ការបរាជ័យក្នុងការជួសជុលប្រព័ន្ធ (Patching failures) ដែលគ្រប់គ្រងដោយក្រុមរចនាសម្ព័ន្ធព័ត៌មានវិទ្យា (infrastructure) ៣. ចន្លោះប្រហោងនៃ IAM (ការគ្រប់គ្រងអត្តសញ្ញាណ និងសិទ្ធិចូលប្រើប្រាស់) ដែលអាជីវកម្មបដិសេធមិនអនុវត្តតាម ៤. ការលើកលែងក្រៅផ្លូវការ ដែលក្រោយមកប្រែទៅជាឧប្បត្តិហេតុ ៥. ស្តង់ដារដែលត្រូវបានរំលងដោយក្រុមអភិវឌ្ឍន៍កម្មវិធី ដើម្បីឱ្យកាន់តែច្បាស់ - CISO មានគណនេយ្យភាពនៅពេលដែលពួកគេបរាជ័យក្នុងការកំណត់អត្តសញ្ញាណហានិភ័យ ការចូលរួមជាមួយអាជីវកម្ម ឬការរាយការណ៍បញ្ហាដែលមិនទាន់ដោះស្រាយទៅកាន់ថ្នាក់ដឹកនាំ។ នោះហើយទើបជាការងាររបស់ពួកគេ។ ប៉ុន្តែការត្រូវទទួលខុសត្រូវលើការអនុវត្តការត្រួតពិនិត្យដែលពួកគេមិនបានចាត់ចែង ឬមិនបានអនុញ្ញាត គឺមិនមែនជាការងាររបស់ពួកគេទេ។ នៅពេលដែលផ្នែកសន្តិសុខសាយប័រ "ទទួលយកភាពជាម្ចាស់" លើចន្លោះប្រហោងនៃប្រតិបត្តិការ ស្ថាប័ននឹងសន្មត់ដោយស្ងៀមស្ងាត់ថា៖ "ប្រសិនបើមានអ្វីខុសឆ្គង វាជាបញ្ហារបស់ CISO"។ កម្មវិធីដែលរឹងមាំបំផុត គឺត្រូវចែករំលែកការទទួលខុសត្ររូវរវាងផ្នែកសន្តិសុខសាយប័រ (cybersecurity) អាជីវកម្ម (business) ឌីជីថលឬព័ត៌មានវិទ្យា (IT) សវនកម្ម (Audit) និងហានិភ័យ (Risk)។ សន្តិសុខសាយប័រ (Cybersecurity) គឺជាការទទួលខុសត្រូវរបស់ស្ថាប័នទាំងមូល - មិនមែនជាមុខងាររបស់មនុស្សតែម្នាក់នោះទេ។ តើអ្នកយល់យ៉ាងដូចម្តេច? @OUPNarith
127
13
តើវិធីសាស្ត្រណាមួយដែលល្អបំផុត និងមានសុវត្ថិភាពបំផុតក្នុងការបង្កើត និងគ្រប់គ្រងពាក្យសម្ងាត់?
129
14
អត្ថបទី៥ — ឧបករណ៍ចាស់ គ្រោះថ្នាក់ថ្មី៖ បញ្ហាឧបករណ៍ដែលគេបំភ្លេចចោល (Ghost Device) - "ឧបករណ៍ដែលគ្រោះថ្នាក់បំផុតនៅក្នុងស្ថាប័នរប
អត្ថបទី៥ — ឧបករណ៍ចាស់ គ្រោះថ្នាក់ថ្មី៖ បញ្ហាឧបករណ៍ដែលគេបំភ្លេចចោល (Ghost Device) - "ឧបករណ៍ដែលគ្រោះថ្នាក់បំផុតនៅក្នុងស្ថាប័នរបស់អ្នក គឺជាឧបករណ៍ដែលគ្មានអ្នកណាម្នាក់ កំពុងនឹកគិតដល់។" ១. បរិបទទូទៅ នៅពេលដែលក្រុមហ៊ុនបណ្តាញហាងលក់រាយដ៏ធំមួយបានធ្វើបច្ចុប្បន្នភាព (upgrade) ទៅលើម៉ាស៊ីនគិតប្រាក់ (POS) ទាំងអស់របស់ពួកគេកាលពី ៣ឆ្នាំមុន ម៉ាស៊ីនចាស់ៗត្រូវបានគេយកទៅទុកក្នុងបន្ទប់ផ្ទុកឥវ៉ាន់ — ដោយនៅតែភ្ជាប់ទៅនឹងបណ្តាញ (network) ដដែល — ដើម្បីរង់ចាំការណែនាំពីការបោះចោល ដែលមិនត្រូវបានគេប្រាប់សោះ។ ការវាយតម្លៃសុវត្ថិភាពជាប្រចាំមួយបានបង្ហាញថា ម៉ាស៊ីនដែលគេបំភ្លេចចោលទាំងនោះនៅតែមានសកម្មភាពនៅលើបណ្តាញ ដោយប្រើប្រាស់កម្មវិធីហួសសម័យដែលមានចំណុចខ្សោយ ហើយតាមការពិតវាត្រូវបានភាគីខាងក្រៅ ឬចោរព័ត៌មានវិទ្យាចូលប្រើប្រាស់រួចទៅហើយតាំងពីប៉ុន្មានខែមុនមកម៉្លេះ។ គ្មាននរណាម្នាក់គិតដល់ឧបករណ៍ចាស់ៗទាំងនោះទេ ព្រោះកាលណាបាត់ពីភ្នែក គឺពិតជាបាត់ពីការចងចាំមែន។ ប៉ុន្តែនៅក្នុងពិភពឌីជីថល "បាត់ពីការចងចាំ" មិនមែនមានន័យថា "បាត់ពីបណ្តាញតភ្ជាប់" នោះទេ។ ឧបករណ៍ខ្មោច (Ghost devices) មាននៅគ្រប់ទីកន្លែង។ អតីតបុគ្គលិកដែលធ្វើការពីផ្ទះនៅតែមានកុំព្យូទ័រយួរដៃរបស់ក្រុមហ៊ុន។ ដុំរ៉ោតទ័រ (routers) ចាស់ៗត្រូវបានជំនួសថ្មី ប៉ុន្តែមិនដែលត្រូវបានផ្តាច់ចេញពីបណ្តាញឡើយ។ ម៉ាស៊ីនមេដែលបានរៀបចំសម្រាប់គម្រោងមួយកាលពី ៥ឆ្នាំមុន នៅតែដំណើរការនៅជ្រុងមួយនៃបន្ទប់ដាក់ម៉ាស៊ីនមេ។ ថេប្លេតដែលធ្លាប់ប្រើជាប្រព័ន្ធចុះឈ្មោះភ្ញៀវត្រូវបានជំនួសថ្មី ប៉ុន្តែរបស់ចាស់ត្រូវបានគេឱ្យទៅកូនរបស់បុគ្គលិកម្នាក់បាត់ទៅហើយ។ ឧបករណ៍នីមួយៗទាំងនេះ ប្រសិនបើនៅតែតភ្ជាប់ទៅបណ្តាញរបស់អ្នក ឬនៅតែផ្ទុកទិន្នន័យក្រុមហ៊ុន គឺជាហានិភ័យសុវត្ថិភាពដ៏នៅរស់រវើក។ ២. ហេតុអ្វីបានជារឿងនេះមានសារៈសំខាន់ចំពោះស្ថាប័នរបស់អ្នក ក្រុមអ្នកវាយប្រហារតែងតែស្កេនអុីនធឺណិតយ៉ាងសកម្ម ដើម្បីស្វែងរកឧបករណ៍ដែលមិនបានធ្វើបច្ចុប្បន្នភាពសុវត្ថិភាព និងត្រូវបានគេបំភ្លេចចោល។ ឧបករណ៍ស្វ័យប្រវត្តិដែលប្រើប្រាស់ដោយឧក្រិដ្ឋជនសាយប័រ អាចកំណត់អត្តសញ្ញាណឧបករណ៍ដែលងាយរងគ្រោះ ក្នុងរយៈពេលប៉ុន្មាននាទីប៉ុណ្ណោះ បន្ទាប់ពីពួកវាត្រូវបានភ្ជាប់ទៅអុីនធឺណិត។ ឧបករណ៍កាន់តែចាស់ និងកាន់តែត្រូវបានគេបំភ្លេចចោល វាកាន់តែមិនសូវទទួលបានការធ្វើបច្ចុប្បន្នភាពសុវត្ថិភាព — ដែលធ្វើឱ្យវាក្លាយជាគោលដៅដ៏ងាយស្រួលបំផុត។ ៣. ការណែនាំ និងជំហានសម្រាប់ការអនុវត្ត ជំហានទី 1 — ធ្វើការប្រកាសប្រមូលឧបករណ៍ (Device Amnesty) ប្រកាសពីកម្មវិធី "ការប្រគល់ និងចុះបញ្ជីឧបករណ៍" នៅទូទាំងក្រុមហ៊ុន។ ស្នើឱ្យបុគ្គលិកទាំងអស់រាយការណ៍ពីឧបករណ៍របស់ក្រុមហ៊ុនដែលពួកគេកំពុងមាន — ទោះបីជានៅក្នុងការិយាល័យ នៅផ្ទះ ឬទុកនៅកន្លែងណាមួយក៏ដោយ។ កុំធ្វើការបន្ទោស គឺគ្រាន់តែទាមទារការទទួលខុសត្រូវប៉ុណ្ណោះ។ គោលដៅគឺដើម្បីឱ្យយើងមើលឃើញពីអ្វីដែលយើងមាន (visibility)។ ជំហានទី 2 — សវនកម្មលើការតភ្ជាប់បណ្តាញរបស់អ្នក ស្នើឱ្យក្រុមព័ត៌មានវិទ្យារបស់អ្នកដំណើរការការស្កេនលើគ្រប់ឧបករណ៍ ដែលកំពុងតភ្ជាប់ទៅបណ្តាញក្រុមហ៊ុនរបស់អ្នកនាពេលបច្ចុប្បន្ន។ ប្រៀបធៀបបញ្ជីនោះទៅនឹងបញ្ជីឈ្មោះទ្រព្យសកម្មដែលអ្នកបានស្គាល់។ អ្វីក៏ដោយនៅលើបណ្តាញ ដែលមិនមាននៅក្នុងបញ្ជីឈ្មោះ គឺជាឧបករណ៍ខ្មោច ហើយត្រូវតែធ្វើការស៊ើបអង្កេតជាបន្ទាន់។ ជំហានទី 3 — បង្កើតដំណើរការបោះបង់ឧបករណ៍ចាស់ៗ បង្កើតនីតិវិធីច្បាស់លាស់មួយសម្រាប់ការបោះបង់ឧបករណ៍ចាស់ៗ៖ ទិន្នន័យត្រូវតែត្រូវបានលុបចោលទាំងស្រុង (wiped) ឧបករណ៍ត្រូវតែផ្តាច់ចេញពីបណ្តាញ លុបចេញពីបញ្ជីទ្រព្យសកម្ម និងយកទៅកម្ទេចចោលផ្ទាល់តាមរយៈដំណើរការដែលមានការទទួលស្គាល់ត្រឹមត្រូវ។ មិនត្រូវមានឧបករណ៍ណាមួយត្រូវបានគេបោះបង់ចោលក្រៅផ្លូវការឡើយ។ ជំហានទី 4 — តាមដានឧបករណ៍ដែលបានប្រគល់ជូនបុគ្គលិកធ្វើការពីចម្ងាយ (Remote ឬ Hybrid) រក្សាកំណត់ត្រានៃគ្រប់ឧបករណ៍ដែលបានចេញឱ្យបុគ្គលិកដែលធ្វើការក្រៅការិយាល័យ។ បញ្ចូលប្រភេទឧបករណ៍ លេខស៊េរី (serial number) ឈ្មោះបុគ្គលិកដែលទទួល និងកាលបរិច្ឆេទត្រួតពិនិត្យចុងក្រោយ ហើយត្រួតពិនិត្យកំណត់ត្រានេះជារៀងរាល់ត្រីមាស។ ៤. អនុសាសន៍សំខាន់សម្រាប់ថ្នាក់ដឹកនាំ តម្រូវឱ្យក្រុមព័ត៌មានវិទ្យារបស់អ្នកផ្តល់ "របាយការណ៍ឧបករណ៍ខ្មោច (Ghost Device Report)" ជារៀងរាល់ត្រីមាស — ដែលជាសេចក្តីសង្ខេបនៃឧបករណ៍ណាមួយដែលបានរកឃើញនៅលើបណ្តាញ ប៉ុន្តែមិនត្រូវបានចុះបញ្ជីផ្លូវការ ក៏ដូចជាឧបករណ៍ដែលបានចុះបញ្ជីរួច ប៉ុន្តែមិនឃើញមានវត្តមាននៅលើបណ្តាញរយៈពេលជាង 90 ថ្ងៃមកហើយ។ បញ្ជីទាំងពីរនេះបញ្ចូលគ្នា នឹងបង្ហាញពីទំហំនៃបញ្ហាឧបករណ៍ខ្មោចរបស់អ្នក។ សំណួរសម្រាប់ពិភាក្សា៖ តើអ្នកដឹងទេថា រាល់ឧបករណ៍របស់ក្រុមហ៊ុនបច្ចុប្បន្នកំពុងនៅឯណាខ្លះ — រាប់បញ្ចូលទាំងឧបករណ៍ដែលត្រូវបានយកទៅផ្ទះ ដោយបុគ្គលិកធ្វើការពីចម្ងាយ ឬអតីតបុគ្គលិក? តើដំណើរការតាមដានរបស់អ្នកមានលក្ខណៈដូចម្តេចដែរ? @OUPNarith
146
15
ផលវិបាកដោយសារ AI ទៅលើការងារ ចេញរូបរាងបណ្តើរៗ ! តើអ្នកត្រូវត្រៀមខ្លួនបែបណា? ចាប់យកជំនាញណា? @OUPNarith
ផលវិបាកដោយសារ AI ទៅលើការងារ ចេញរូបរាងបណ្តើរៗ ! តើអ្នកត្រូវត្រៀមខ្លួនបែបណា? ចាប់យកជំនាញណា? @OUPNarith
120
16
រោងចក្រ Foxconn ដែលផ្គត់ផ្គង់ hardware សម្រាប់ Apple និង Nvidia ទទួលរងការវាយប្រហារដោយមេរោគចាប់ជំរិត! https://www.theregister.
រោងចក្រ Foxconn ដែលផ្គត់ផ្គង់ hardware សម្រាប់ Apple និង Nvidia ទទួលរងការវាយប្រហារដោយមេរោគចាប់ជំរិត! https://www.theregister.com/cyber-crime/2026/05/12/foxconn-confirms-cyberattack-after-nitrogen-claims-apple-nvidia-data-theft/5239144 @OUPNarith
136
17
អត្ថបទទី៤ — ថ្ងៃដែលអាជីវកម្មគាំងដំណើរការទាំងស្រុង៖ មេរោគចាប់ជំរិត (Ransomware) - "វាមិនមែនជាសំណួរថាតើវានឹងកើតឡើងឬអត់នោះទេ — វ
អត្ថបទទី៤ — ថ្ងៃដែលអាជីវកម្មគាំងដំណើរការទាំងស្រុង៖ មេរោគចាប់ជំរិត (Ransomware) - "វាមិនមែនជាសំណួរថាតើវានឹងកើតឡើងឬអត់នោះទេ — វាគ្រាន់តែជាពេលវេលាប៉ុណ្ណោះ។ ហើយនៅពេលដែលវាមកដល់ តើអ្នកត្រៀមខ្លួនរួចរាល់ហើយឬនៅ?" ១.បរិបទទូទៅ វាជាព្រឹកថ្ងៃចន្ទ បុគ្គលិកបានមកដល់ក្រុមហ៊ុនខ្នាតមធ្យមមួយ ធ្វើការឆុងកាហ្វេនិងអង្គុយចុះដើម្បីចាប់ផ្តើមការងារប្រចាំសប្តាហ៍។ ប៉ុន្តែនៅពេលដែលពួកគេបើកកុំព្យូទ័រ មានអ្វីម្យ៉ាងប្លែកខុសធម្មតា។ គ្រប់អេក្រង់ទាំងអស់បានបង្ហាញសារដូចៗគ្នាថា៖ "ឯកសាររបស់អ្នកត្រូវបានអ៊ិនគ្រីប (ចាក់សោ)។ សូមបង់ប្រាក់ 150,000 ដុល្លារអាមេរិក ជា Bitcoin ក្នុងរយៈពេល 72 ម៉ោង បើមិនដូច្នេះទេទិន្នន័យរបស់អ្នកនឹងត្រូវលុបចោលជារៀងរហូត។" គ្រប់កុំព្យូទ័រ គ្រប់សេវើ (Server) គ្រប់ប្រព័ន្ធផ្ទុកទិន្នន័យរួម (shared drive) ត្រូវបានចាក់សោទាំងអស់។ ក្រុមហ៊ុនមិនមានទិន្នន័យបម្រុងទុក (backup) ថ្មីៗនោះទេ។ ក្រុមព័ត៌មានវិទ្យារបស់ពួកគេមិនមានកំណត់ត្រានៃប្រព័ន្ធទាំងអស់ដែលរងផលប៉ះពាល់ឡើយ ព្រោះពួកគេមិនដែលបានរក្សាទុកបញ្ជីទ្រព្យសកម្មឱ្យបានត្រឹមត្រូវ។ ពួកគេមិនដឹងថាប្រព័ន្ធមួយណាជាប្រព័ន្ធសំខាន់បំផុត និងមួយណាអាចរង់ចាំសិនបាន។ ពួកគេមិនដឹងថាម៉ាស៊ីនមេមួយណាផ្ទុកទិន្នន័យអ្វីខ្លះនោះទេ។ ការសង្គ្រោះទិន្នន័យបានក្លាយជាការលេងល្បែងទាយ ហើយទីបំផុតពួកគេបានបង់ប្រាក់ជំរិតនោះ។ ឯកសារមួយចំនួនត្រូវបានស្តារឡើងវិញ រីឯឯកសារខ្លះទៀតគឺបាត់បង់រហូត។ ក្រុមហ៊ុនបានចំណាយពេល 4 ខែបន្ទាប់ដើម្បីរៀបចំប្រតិបត្តិការឡើងវិញ ដែលក្នុងនោះបានបាត់បង់អតិថិជនសំខាន់ៗ ហើយចុងក្រោយត្រូវកាត់បន្ថយបុគ្គលិកចំនួន 30%។ ទាំងអស់នេះគឺដោយសារតែម៉ាស៊ីនមេមួយដែលមិនបានធ្វើបច្ចុប្បន្នភាព (unpatched) និងមិនបានតាមដាន — ដែលគ្មាននរណាម្នាក់ចាំថាវានៅដំណើរការនៅឡើយ — បានក្លាយជាច្រកចូលនៃមេរោគ។ ២. ហេតុអ្វីបានជារឿងនេះមានសារៈសំខាន់ចំពោះស្ថាប័នរបស់អ្នក មេរោគចាប់ជំរិត (Ransomware) មិនរើសមុខទេ។ វាវាយប្រហារសាជីវកម្មធំៗ ស្ថាប័នរដ្ឋាភិបាល មន្ទីរពេទ្យ និងអាជីវកម្មខ្នាតតូចដូចគ្នា។ ភាពខុសគ្នារវាងស្ថាប័នដែលអាចងើបឡើងវិញបានលឿន និងស្ថាប័នដែលមិនអាចងើបឡើងវិញបានសោះ គឺតែងតែមានលក្ខណៈដូចគ្នា៖ មិនមានការត្រៀមខ្លួន និងមិនមានភាពមើលឃើញ (visibility)។ ស្ថាប័នដែលដឹងច្បាស់ថាពួកគេមានអ្វីខ្លះ មានទិន្នន័យបម្រុងទុកនៅទីណា ហើយប្រព័ន្ធមួយណាដែលសំខាន់បំផុត អាចឆ្លើយតបវិញក្នុងរយៈពេលត្រឹមប៉ុន្មានម៉ោង។ អ្នកដែលមិនដឹង ត្រូវចំណាយពេលរាប់ខែ — ឬប្រហែលជាមិនអាចស្តារបានទាល់តែសោះ ឬបិទអាជីវកម្មទាំងស្រុង។ ៣. ការណែនាំ និងជំហានសម្រាប់ការអនុវត្ត ជំហានទី 1 — កំណត់អត្តសញ្ញាណប្រព័ន្ធដែល "សំខាន់បំផុត" របស់អ្នកនៅពេលនេះស្នើឱ្យក្រុមព័ត៌មានវិទ្យារបស់អ្នករាយនាមប្រព័ន្ធ ឬឧបករណ៍កំពូលទាំង 10 ដែលប្រសិនបើវាគាំងនៅថ្ងៃនេះ វានឹងធ្វើឱ្យអាជីវកម្មរបស់អ្នកបញ្ឈប់ប្រតិបត្តិការ។ ទាំងនេះគឺជាទ្រព្យសកម្មដ៏សំខាន់របស់អ្នក។ ពួកវាត្រូវការកម្រិតនៃការការពារខ្ពស់បំផុត និងផែនការបម្រុងទុក (backup plan) ដែលអាចទុកចិត្តបានបំផុត។ ជំហានទី 2 — ផ្ទៀងផ្ទាត់ស្ថានភាពទិន្នន័យបម្រុងទុក (Backup) របស់អ្នក សម្រាប់ទ្រព្យសកម្មសំខាន់ៗនីមួយៗ សូមសួរថា៖ "តើយើងមានទិន្នន័យបម្រុងទុកដែរឬទេ? តើវាត្រូវបានសាកល្បងចុងក្រោយនៅពេលណា? តើត្រូវចំណាយពេលប៉ុន្មានដើម្បីស្តារឡើងវិញ?" ប្រសិនបើអ្នកមិនអាចឆ្លើយសំណួរទាំងនេះដោយជឿជាក់ទេ យុទ្ធសាស្ត្របម្រុងទុករបស់អ្នកត្រូវការការយកចិត្តទុកដាក់ជាបន្ទាន់។ ជំហានទី 3 — បង្កើតផែនការឆ្លើយតបជាមូលដ្ឋាន ធ្វើការជាមួយក្រុមព័ត៌មានរបស់អ្នក ដើម្បីបង្កើតមគ្គុទ្ទេសក៍ "តើយើងត្រូវធ្វើដូចម្តេចប្រសិនបើរឿងនេះកើតឡើង" មួយទំព័រដ៏សាមញ្ញមួយ។ វាមិនចាំបាច់ស្មុគស្មាញទេ — វាគ្រាន់តែត្រូវកំណត់ថាតើនរណាទូរស័ព្ទទៅនរណា តើអ្វីត្រូវបិទមុនគេ ហើយតើអាជីវកម្មធ្វើការទំនាក់ទំនងផ្ទៃក្នុង និងខាងក្រៅយ៉ាងដូចម្តេចក្នុងអំឡុងពេលមានហេតុការណ៍មិនប្រក្រតីណាមួយ។ ជំហានទី 4 — សាកល្បងការស្តារឡើងវិញ (Recovery) របស់អ្នក យ៉ាងហោចណាស់ម្តងក្នុងមួយឆ្នាំ សូមបង្កើតការសាកល្បងត្រាប់តាមស្ថានភាពដែលប្រព័ន្ធសំខាន់មួយគាំងដំណើរការ។ តើត្រូវចំណាយពេលប៉ុន្មានដើម្បីស្តារវាឡើងវិញ? តើមានបញ្ហាអ្វីខ្លះក្នុងដំណើរការនេះ? ការសាកល្បងបង្ហាញពីចន្លោះប្រហោងដែលការរៀបចំផែនការតែមួយមុខមិនអាចមើលឃើញ។ ៤. អនុសាសន៍សំខាន់សម្រាប់ថ្នាក់ដឹកនាំ ណែនាំក្រុមព័ត៌មានវិទ្យារបស់អ្នកឱ្យបង្កើតការវាយតម្លៃផលប៉ះពាល់អាជីវកម្ម (Business Impact Assessment) — ឯកសារសាមញ្ញមួយដែលភ្ជាប់ទ្រព្យសកម្មឌីជីថលសំខាន់ៗនីមួយៗទៅនឹងមុខងារអាជីវកម្មដែលវាគាំទ្រ និងការខាតបង់ជាប្រាក់ក្នុងមួយថ្ងៃប្រសិនបើបាត់បង់វា។ ឯកសារនេះក្លាយជាមូលដ្ឋានគ្រឹះនៃយុទ្ធសាស្ត្រសង្គ្រោះរបស់អ្នក ហើយគួរតែត្រូវបានត្រួតពិនិត្យដោយថ្នាក់គ្រប់គ្រងជារៀងរាល់ឆ្នាំ។ សំណួរសម្រាប់ពិភាក្សា៖ ប្រសិនបើកុំព្យូទ័រគ្រប់គ្រឿងនៅក្នុងស្ថាប័នរបស់អ្នកត្រូវបានចាក់សោ និងមិនអាចចូលប្រើបាននៅព្រឹកស្អែក តើអ្នកមានផែនការហើយឬនៅ? @OUPNarith
114
18
អត្ថបទទី៣ — អាជីវកម្មរបស់អ្នកមាន "ទ្រព្យសកម្មឌីជីថល" ច្រើនជាងអ្វីដែលអ្នកគិត - "ប្រសិនបើអ្នកមិនអាចរាប់វាអស់នោះទេ អ្នកមិនអាចទិញ
អត្ថបទទី៣ — អាជីវកម្មរបស់អ្នកមាន "ទ្រព្យសកម្មឌីជីថល" ច្រើនជាងអ្វីដែលអ្នកគិត - "ប្រសិនបើអ្នកមិនអាចរាប់វាអស់នោះទេ អ្នកមិនអាចទិញធានារ៉ាប់រងឱ្យវាបានឡើយ។ ប្រសិនបើអ្នកមិនអាចទិញធានារ៉ាប់រងឱ្យវាបានទេ អ្នកមិនអាចការពារវាបានឡើយ។" ១. បរិបទទូទៅ សាកសួរម្ចាស់អាជីវកម្មណាម្នាក់ឱ្យរាប់ទ្រព្យសកម្មរូបវន្ត (physical assets) របស់ពួកគេ ហើយពួកគេនឹងផ្តល់ចម្លើយដ៏ត្រឹមត្រូវមួយដល់អ្នក — អគារ យានយន្ត គ្រឿងសង្ហារឹម តុ ទូ គ្រឿងចក្រ ...។ ពួកគេដឹងរឿងនេះយ៉ាងច្បាស់ដោយសារតែរបស់របររូបវន្តអាចមើលឃើញ អាចប៉ះ ឬកាន់បាន និងជារឿយៗមានតម្លៃថ្លៃគ្រប់គ្រាន់ដែលតម្រូវឱ្យមានការទិញធានារ៉ាប់រង ឬរកមធ្យោបាយការពារ និងកត់ត្រាទុកបញ្ជី។ ឥឡូវនេះ សាកសួរម្ចាស់អាជីវកម្មដដែលនោះឱ្យរាយនាមទ្រព្យសកម្មឌីជីថល (digital assets) របស់ពួកគេម្តង។ ភាគច្រើននឹងឆ្លើយថា៖ "កុំព្យូទ័រ និងទូរស័ព្ទ... និងប្រហែលជាសុសវ៉ែរគណនេយ្យ។" តាមការពិត អាជីវកម្មខ្នាតមធ្យមដែលមានបុគ្គលិកពី 50 ទៅ 100 នាក់ ជាទូទៅមានទ្រព្យសកម្មឌីជីថលរាប់រយ — ដែលថ្នាក់ដឹកនាំភាគច្រើនមិនដែលបានគិតដល់៖ • កុំព្យូទ័រយួរដៃ និងទូរសព្ទដៃរបស់បុគ្គលិក • គណនីអ៊ីមែលក្រុមហ៊ុន និងប្រអប់សាររួម (shared inboxes) • កន្លែងផ្ទុកទិន្នន័យលើក្លោដ (Google Drive, Dropbox, OneDrive) • មូលដ្ឋានទិន្នន័យអតិថិជន និងប្រព័ន្ធ CRM • កម្មវិធីគណនេយ្យ និងកម្មវិធីបើកប្រាក់ខែ • គណនីបណ្តាញសង្គម • គេហទំព័រ និងឈ្មោះដូមេន (domain names) • ដុំវ៉ាយហ្វាយ (Wi-Fi routers) និងឧបករណ៍បណ្តាញ • ប្រព័ន្ធកាមេរ៉ាសុវត្ថិភាព (CCTV) ដែលតភ្ជាប់អុីនធឺណិត • ម៉ាស៊ីនគិតប្រាក់ (POS terminals) • ថាសរឹងផ្ទុកទិន្នន័យបម្រុងទុកចាស់ៗ (backup drives) ដែលទុកចោលក្នុងថតតុ • អាជ្ញាប័ណ្ណកម្មវិធី (Software licenses) • ច្រកចូលប្រើប្រាស់របស់អ្នកផ្គត់ផ្គង់ភាគីទីបី (Third-party vendor portals) របស់មួយៗខាងលើនេះ គឺជាទ្រព្យសកម្មឌីជីថល ហើយសុទ្ធតែមានតម្លៃសម្រាប់អាជីវកម្ម។ បន្ថែមជាមួយគ្នានេះ វាក៏តំណាងឱ្យហានិភ័យដ៏ធំធេងផងដែរ ប្រសិនបើទុកចោលដោយមិនបានគ្រប់គ្រង។ ២. ហេតុអ្វីបានជារឿងនេះមានសារៈសំខាន់ចំពោះស្ថាប័នរបស់អ្នក អ្នកមិនអាចវាយតម្លៃ ដាក់ការការពារ ឬបង្កើតផែនការសង្គ្រោះសម្រាប់អ្វីមួយដែលអ្នកមិនបានដឹងថាវាមានវត្តមាននោះទេ។ ទ្រព្យសកម្មឌីជីថល — ដូចគ្នាទៅនឹងទ្រព្យសកម្មរូបវន្តដែរ — អាចធ្លាក់ថ្លៃ ហួសសម័យ ងាយរងការវាយប្រហារ និងចាំបាច់ត្រូវផ្លាស់ប្តូរថ្មី។ ប៉ុន្តែមិនដូចកៅអីបាក់ដែលយើអាចឃើញផ្ទាល់ភ្នែកនោះទេ មូលទិន្នន័យ (database) ដែលត្រូវបានគេលួចយក ឬបំពាន (hacked or breached) មិនចេះស្រែកប្រាប់យើងឱ្យដឹងនោះឡើយ។ ៣. ការណែនាំ និងជំហានសម្រាប់ការអនុវត្ត ជំហានទី 1 — ធ្វើ "ការដើរត្រួតពិនិត្យទ្រព្យសកម្មឌីជីថល" ស្រដៀងគ្នាទៅនឹងរបៀបដែលអ្នកដើរត្រួតពិនិត្យដោយផ្ទាល់ក្នុងអង្គភាព ឬផ្ទះរបស់អ្នកដើម្បីកត់ត្រាពីអ្វីដែលមាននៅទីនោះ សូមឱ្យក្រុមព័ត៌មានវិទ្យារបស់អ្នកធ្វើសកម្មភាពស្រដៀងគ្នានេះក្នុងទម្រង់ឌីជីថល ទៅកាន់នាយកដ្ឋាននីមួយៗ ហើយសួរថា៖ "តើឧបករណ៍ ប្រព័ន្ធ និងគណនីអ្វីខ្លះដែលក្រុមនេះកំពុងប្រើប្រាស់?" ជំហានទី 2 — ចាត់ថ្នាក់តាមប្រភេទ ចាត់ក្រុមទ្រព្យសកម្មឌីជីថលរបស់អ្នកជាប្រភេទៗ ដើម្បីងាយស្រួលក្នុងការគ្រប់គ្រង៖ • ឧបករណ៍ — កុំព្យូទ័រយួរដៃ ទូរសព្ទ ថេប្លេត សេវើ (servers) ម៉ាស៊ីនបោះពុម្ព ដុំរ៉ោតទ័រ (routers) • គណនីអនឡាញ — អ៊ីមែល បណ្តាញសង្គម វេទិកាក្លោដ ច្រកចូលប្រើប្រាស់របស់អ្នកផ្គត់ផ្គង់ • ទិន្នន័យ — ឯកសារអតិថិជន ទិន្នន័យហិរញ្ញវត្ថុ ឯកសារធនធានមនុស្ស កម្មសិទ្ធិបញ្ញា • កម្មវិធី (Software & Applications) — ឧបករណ៍ដែលមានអាជ្ញាប័ណ្ណ កម្មវិធីលើវេប (web-based apps) ប្រព័ន្ធដែលបង្កើតឡើងផ្ទាល់ខ្លួន • ហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញ — ការតភ្ជាប់អុីនធឺណិត (switches) ចំណុចតភ្ជាប់វ៉ាយហ្វាយ (Wi-Fi access points) ជំហានទី 3 — កំណត់តម្លៃប៉ាន់ស្មានសម្រាប់អាជីវកម្ម នៅពេលដែលរាយនាមរួចរាល់ សូមសួរសំណួរថា៖ "ប្រសិនបើយើងបាត់បង់ការចូលប្រើប្រាស់ទ្រព្យសកម្មនេះរយៈពេលមួយសប្តាហ៍ តើវានឹងធ្វើឱ្យយើងខាតបង់ប៉ុន្មាន?" លំហាត់ដ៏សាមញ្ញនេះជួយកំណត់អាទិភាពថាទ្រព្យសកម្មមួយណាត្រូវការការយកចិត្តទុកដាក់ និងការការពារខ្លាំងជាងគេ។ ៤. អនុសាសន៍សំខាន់សម្រាប់ថ្នាក់ដឹកនាំ ស្នើសុំ "របាយការណ៍ស្វែងរកទ្រព្យសកម្មឌីជីថល (Digital Asset Discovery Report)" ពីក្រុមព័ត៌មានវិទ្យារបស់អ្នក ឬអ្នកប្រឹក្សាខាងក្រៅ។ របាយការណ៍នេះគួរតែរាយនាមរាល់ទ្រព្យសកម្មឌីជីថលដែលត្រូវបានស្គាល់ អ្នកដែលជាម្ចាស់ គោលបំណងនៃការប្រើប្រាស់ និងពេលវេលាដែលវាត្រូវបានត្រួតពិនិត្យចុងក្រោយ។ ប្រសិនបើស្ថាប័នរបស់អ្នកមិនធ្លាប់បង្កើតរបាយការណ៍បែបនេះទេ សូមចាត់ទុកវាជាគម្រោងអាទិភាពរបស់អ្នកសម្រាប់រយៈពេល 30 ថ្ងៃបន្ទាប់។ សំណួរសម្រាប់ពិភាក្សា៖ សម្លឹងមើលជុំវិញការិយាល័យរបស់អ្នកឥឡូវនេះ។ តើអ្នកមើលឃើញទ្រព្យសកម្មឌីជីថលចំនួនប៉ុន្មាន ដែលក្រុមព័ត៌មានវិទ្យារបស់អ្នកកំពុងតាមដាន និងគ្រប់គ្រងជាផ្លូវការ? សាកល្បងទាយមើល — បន្ទាប់មកទៅសួរក្រុមព័ត៌មានវិទ្យារបស់អ្នក! @OUPNarith
119
19
Sustainable Finance Taxonomy for Cambodian Banking Sector (2026) National Bank of Cambodia. @OUPNarith
198
20
Data Center Networking @OUPNarith
Data Center Networking @OUPNarith
0